安全漏洞--字符串格式化(FSV)漏洞分析

￡神魔★判官ぃ 2022-06-17 05:11 362阅读 0赞

## **一 漏洞简介** ##

格式化字符串漏洞(format string vulnerability)，也是一种比较常见的漏洞类型。常出现于c语言格式化字符串一系列函数。比如printf，sprintf，fprintf等一系列家族函数。由于此函数对参数类型和个数过滤不严格，导致用户可以构造

任意数据，实现读取写入内存数据，从而实现代码执行。

## **二 原理分析** ##

至于为什么会产生字符串溢出漏洞呢，我们来看看产生溢出的关键函数。比如说

_Check_return_opt_ _CRTIMP int __cdecl printf(_In_z_ _Printf_format_string_ const char *_Format, ...);

这个输出控制字符串函数。解释一下参数：

**Format**是个格式化控制字符串，里面控制这个字符串输出的格式。

常见格式控制如下列表

![Center][]

**...省略号**代表是用户可以控制的参数类型和列表。

关键就在于这个位置，参数类型和数量的不确定性，如果允许用户自己定义这两个参数。

那么就可以经过精心够早实现对程序任意位置的数据读取和写入，那么就能构造出漏洞

利用程序，从而控制我们的程序流程。

**涉及的关键控制符**

**%n功能**

是将%n之前printf已经打印的字符个数赋值给传入的指针。通过%n我们就可以修改内存中

的值了。例如： printf("aaaaaaa%n\\n",&a);

printf("%d\\n",a);

可以发现a的值被printf函数修改为了7。这就是%n的功效了。这是一个不常用到的参数.

它的功能是将%n之前printf已经打印的字符个数赋值给传入的指针。通过%n我们就可以

**修改**内存中的值了。和%sleak内存一样，只要栈中有我们需要修改的内存的地址就可以

使用格式化字符串的漏洞修改它。当然，如果需要修改的数据是相当大的数值时，我们

可以使用%02001d或者%2001x这种形式。

**%p功能**

格式控制符“%p”中的p是pointer（指针）的缩写。指针的值是语言实现（编译程序）

相关的，但几乎所有实现中，指针的值都是一个表示地址空间中某个存储器单元的整数。

printf函数族中对于%p一般以十六进制整数方式**读取**输出指针的值，附加前缀0x。

**%$功能**

格式化字符串的“$”操作符，其允许我们从格式化字符串中选取一个作为特定的参数。

例如：printf("%3$s", 1, "b", "c", 4);  
最终会显示结果“c”。这是因为格式化字符串“%3$s”，它告诉计算机“把格式化字

符串后面第三个参数**读取**告诉我，然后将参数解释为字符串”。所以，也可以这样做  
printf("AAAA%3$n");  
printf函数将值“4”（输入的A的数量）写入第三个参数指向的地址。

由此可见格式化字符串漏洞主要是：

**1.读取任意地址的数值，泄露内存**

**2.给任意地址写入数据，修改内存**

主要实现方式是利用格式化串本身也处于栈中，去用直接参数访问找到这个栈中的格式化串。

这个格式化串可以使用一个要写入的内存地址。也就是直接参数访问+%n格式符+长度表示=

向任意地址写入值，这个写入是不能一次写入4字节的，所以可以分两次写入2字节和分四次

写入1字节。其中hhn是写一个字节，hn是写两个字节。n是写四个字节。

## **三 漏洞测试** ##

windows系统示例

int _tmain(int argc, _TCHAR* argv[])
    {
    
    	char str_test1[100];
    	char str_test2[100];
    	scanf("%s",str_test1);
    	printf("%s\n",str_test1);
    
    	scanf("%s",str_test2);
    	printf(str_test2);
    	return 0;
    }

编译完成之后，命令行下面测试。发现同样的输入参数，却输出不同的结果。

而且输出了一部分我们不知道的参数和内存地址。

注意不同地方：

1 主要使用了%P参数控制，泄露了内存地址。

2 printf("%s\\n",str\_test1);//代码采用格式化进行了过滤，所以并没有输出内存数据。

printf(str\_test2); //而这行代码却泄露了我们的内存数据。

![Center 1][]

Linux系统示例

此处的代码里面有三个整数变量，对应的三个值参数分别为10,20,30第四个没有参数。

但是格式化控制符却有参数控制，因此这个函数将会输出栈地址的30后面的数据也就

是栈的下方数据。

#include<stdio.h>
    int key=30;
    int main(int argc, char** argv) 
    {
    	int value=10;
    	int num=20; 
    	printf("%d,%d,%d,%p\n",value,num,key);    
    	return 0;
    }

注意看此函数的参数，只有三个参数，格式化控制符却又四个控制，那么第四个%P输出的

是什么呢。

![Center 2][]

我们来跟进去看看printf函数调用之前的栈布局和数据

![Center 3][]![Center 4][]

同样的原理，如果printf函数的所有参数可以被我们控制，自定义。

这样的话，我们就可以自己控制堆栈数据了。

比如代码这样编写。

#include<stdio.h>
    
    int main(int argc, char** argv)
    
    {
    
        printf(argv[1]);
    
        return 0;
    
    }

岂不很危险了。

## **四 漏洞利用** ##

下面我们来做个例题吧，来熟悉练习一下这个漏洞原理吧。

先正向给大家看一下这道题目的源代码：

/*
     * format.c
     *  Created on: Apr 12, 2017
     *      Author: 5t4rk
     */
    #include<stdio.h>
    #include<stdlib.h>
    int nsecret = 0x110;
    void give_flag()
    {
    	system("cat /down/key.txt"); 
    }
    int main(int argc, char** argv)
    {
    	int * pKey = &nsecret;
    	printf(argv[1]);
    	if (nsecret == 2017)
    	{
    		give_flag();
    	}
    	return 1;
    }

阅读分析此源代码，发现有一个函数give\_flag,如果实现调用此函数那么就可以直接获

取到机器的shell执行代码权限。但是此处的逻辑必须要满足nsecret==2017这个条件。

才能进入我们的flag获取函数里面，所以此处的关键是如何让nsecret=2017。然后并

没有我们用户直接赋值个nsecret变量的输入和接口，因此直接修改不可能。但是发现

有printf函数的直接调用，argv\[1\]参数。

大家还记前面讲的漏洞函数，看我们能否利用此函数参数进行修改nsecret变量的值为

2017，基于栈的构造原理，如果成功，那么就会直接进入这个函数。先编译此代码：

![Center 5][]

得到format这个可执行程序。

![Center 6][]

![Center 7][]

然后测试。

![Center 8][]

测试发现nsecret的变量地址是0x804a024

在对栈上的变量是第七个，于是我们知道只要修改第七个地址数据0x110为

2017就能实现我们的结果。

![Center 9][]

于是我们想到了前面学习的%n可以实现修改内存地址数据。

结合我们找到的位置，顺带采用%$实现准确覆盖，修改数据。

“%02017u%7$n”

在打印数值右侧用0补齐不足位数的方式来补齐足。

./format "$(python -c 'import sys;sys.stdout.write("%02017x%7$hn")')"

![Center 10][]![Center 11][]

[Center]: /images/20220617/1693999c25de4b63bf829bfbc441d4d2.png
[Center 1]: /images/20220617/d6be5d150d20414dbcd05ebedd427d29.png
[Center 2]: /images/20220617/6f98fc6601924c319128e497e5f4e4eb.png
[Center 3]: https://img-blog.csdn.net/20170417182144717?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbWljcm96b25l/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center
[Center 4]: /images/20220617/4ee1624f2d544660b5a1dd90002a6232.png
[Center 5]: /images/20220617/6f517df63c6d47ab9eae4b32ceedb7b1.png
[Center 6]: /images/20220617/9efc0079dffd4214b041bf0a0f4ecf61.png
[Center 7]: /images/20220617/3038bde391724b1e8497efd57c5b9d85.png
[Center 8]: /images/20220617/62db892eac76425a9cc801b4587ae1a4.png
[Center 9]: /images/20220617/2e4db71ee70d4e93b9f7feb1ddfbe2a1.png
[Center 10]: https://img-blog.csdn.net/20170417182622853?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvbWljcm96b25l/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center
[Center 11]: /images/20220617/7fb0f662ac964487b8a7ef6eeefa8ada.png